中尉
- 注册时间
- 2016-1-6
- 金币
- 493 个
- 威望
- 0 个
- 荣誉
- 0 个
累计签到:35 天
连续签到:0 天
[LV.50]初入江湖
|
ROS软路由客户端可以通过修改本地网卡的物理地址来获得相应的权限。+ e: w8 c2 K7 b
例如:A用户是一个可以无限制用户(可上网) MAC:AA:AA:AA:AA:AA
0 A/ w5 f) S/ Y, b
. S) n) I C |6 f k( \9 tB用户是一个无权限用户(不可上网) MAC:BB:BB:BB:BB:BB( o2 a6 n0 w' u" M
' t# W6 Q; [, W' `: S那么,B用户完全可以通过修改本地网卡MAC为:AA:AA:AA:AA:AA来获得
: w( G! V* Z. Z3 s7 ~ T3 dA用户权限。9 M* A2 {* h" h/ \; S3 U$ l! A/ O3 ?
各位有没有好的办法阻止ARP欺骗。
' T/ Y" C6 C9 O% w; L0 L: }% f
0 B9 h1 Q6 p2 h7 [4 Y9 C) X: z$ J3 O( S" X! d W. f
**************************************************************************
+ Y, _* W# N: ?# n使用如下方案:
! U$ ~2 d' v- O
' i/ r) y4 C( N" i. O/ o4 hARP欺骗技术(p-mac绑定在一起来解决)
3 [3 E! U0 J5 Y, e* d3 j. j1 Q7 z+ J
" k' p9 [9 C0 @ Z. {' \7 P1、软件方案(人用这个方案)(当然用ROS软路由+win2000adserver/win2003adserver- V) S$ d( A! Q# F V
0 O% V! H1 ~1 U0 g& |+ ?* v使接内网的网卡arp 使用reply-only模式
3 B' x6 ]. ?0 s3 J G在/ip/arp/把要对应的ip-mac地址绑定在一起(只用加入的ip-mac才可以上网放行)
; h* b5 d* \9 t- P$ ?; G只换ip不能上网、只换mac也不能上网、ip-mac同时换成授权人id可以上网,不过
; z% I* ^" L+ i& X, m' P: `两个一样会形成内网冲突。先开机的优先,不过会相同机器间,网络好慢。
1 S; z6 B' D5 w在ip/forward 中只转发你可以上网的网段ip可以用*.*.*.*/*的方式来控制& x9 d, p( ?- e+ T! r7 O/ N, i0 o' [8 x
在ip/input 中把不能上网的机器全drop掉& H( P! v5 X( w( b D4 c; m5 y3 D9 s
1 t1 U6 J- j' R7 K! p
2、使用ROS软路由的hotspot服务(最好开启web缓存或代理功能)帐号给可上网的电脑,同时帐号与ip-mac也绑定在一起的用户可以上网,不过没次点上网浏览器时就打开验证窗口,用户正解才可上网。(试用企业): L' j5 }8 Z3 V& i
r- T# `; a3 b- E9 V% l3、使用win2003sp1中的dhcp工具比较不错,可以导入导出备份数据,比以前的版本方便多了,& t8 F- }# W7 {' p7 n6 t( g
做出个超级作用域出来,做好AD DNS WINS DHCP服务,开启路由服务,在dhcp中把ip-mac0 |1 s1 W. Y' V* a0 V
绑定在一起这样下面的客户机(mac)、做好完好的企业域安全策略,把下面的机器全加入到域' q. J9 s/ V9 R: a8 j! o( Z
中、授权使用那些常用软件,利用哈希算法识别可用软件,用组策略封下面机器的网络接口的高级配置项,不让其乱动。管理好自己的OU。这个方案比较试用企业使用。
3 ^6 I, J5 I5 B% ^' D: C# ~0 P$ H1 Q* V8 I0 j$ Z
4、硬件方式:(有钱人做的方案)其实交换机也不是太贵了
* Y: T; J2 R/ e" [5 i/ c用有网管功能的交换机如:3com cisco公司的产品" H2 W, l# H" U$ M% u* X" Z
把每个端口的ip-mac做控制,如果发现mac地址不是放行的mac交换机这个口就停止工作(网吧比较适合)/ S* p. `, a% R6 |# k0 L
4 F) B+ w6 J5 B: N/ u
|
|
IP卡
狗仔卡
发表于 2016-8-29 17:19
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
